Die Kommission hat am 17.10.2024 die ersten Durchführungsvorschriften für die Cybersicherheit kritischer Einrichtungen und Netze im Rahmen der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) angenommen. Darin werden Einzelheiten der Maßnahmen für das Risikomanagement im Bereich der Cybersicherheit sowie die Fälle festgelegt, in denen ein Sicherheitsvorfall als erheblich gelten sollte und in denen Unternehmen, die digitale Infrastrukturen und Dienste bereitstellen, Meldung bei den nationalen Behörden machen sollten. Dies ist ein weiterer wichtiger Schritt zur Stärkung der Cyberresilienz der kritischen digitalen Infrastruktur Europas.
Die Durchführungsverordnung gilt für bestimmte Kategorien von Unternehmen, die digitale Dienste erbringen, darunter Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke. Für jede Kategorie von Diensteanbietern wird darin auch festgelegt, wann ein Sicherheitsvorfall als erheblich gilt.
Die Annahme der Durchführungsverordnung ist mit dem Ablauf der Frist zusammengefallen, in der die Mitgliedstaaten die NIS-2-Richtlinie in nationales Recht umzusetzen hatten. Seit dem 18. Oktober 2024, müssen alle Mitgliedstaaten die zur Einhaltung der NIS-2-Cybersicherheitsvorschriften erforderlichen Maßnahmen, einschließlich Aufsichts- und Durchsetzungsmaßnahmen, anwenden.
Nächste Schritte
Die Durchführungsverordnung wird zu gegebener Zeit im Amtsblatt veröffentlicht und tritt 20 Tage später in Kraft.
Hintergrund
Die ersten EU-weiten Rechtsvorschriften im Bereich der Cybersicherheit – die NIS-Richtlinie – traten 2016 in Kraft und trugen dazu bei, bei den Netz- und Informationssystemen in der gesamten EU ein hohes gemeinsames Sicherheitsniveau zu erreichen. Im Rahmen ihres zentralen politischen Ziels, Europa für das digitale Zeitalter fit zu machen, schlug die Kommission im Dezember 2020 die Überarbeitung der NIS-Richtlinie vor. Nach dem Inkrafttreten im Januar 2023 mussten die Mitgliedstaaten die NIS-2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Diese Frist wurde in Deutschland nicht eingehalten.
Mit der NIS-2-Richtlinie soll ein hohes Cybersicherheitsniveau in der gesamten Union sichergestellt werden. Sie gilt für Einrichtungen, die wesentlichen Sektoren der Wirtschaft und Gesellschaft tätig sind, darunter Anbieter von öffentlichen elektronischen Kommunikationsdiensten, von IKT-Verwaltungsdiensten und digitalen Diensten, aber auch in den Bereichen Abwasser- und Abfallbewirtschaftung, Raumfahrt, Gesundheit, Energie, Verkehr, Herstellung kritischer Produkte, Post- und Kurierdienste und öffentliche Verwaltung.
Die Richtlinie hat die Sicherheitsanforderungen an die Unternehmen verschärft und regelt Fragen der Sicherheit von Lieferketten und der Beziehungen zwischen Anbietern. Außerdem sind damit die Meldepflichten gestrafft, strengere Aufsichtsmaßnahmen für die nationalen Behörden festgelegt sowie strengere Durchsetzungsvorschriften und eine Harmonisierung der Sanktionsregelungen in den Mitgliedstaaten eingeführt worden. Die Richtlinie trägt auch zu einem größeren Informationsaustausch und einer besseren Zusammenarbeit bei der Bewältigung von Cyberkrisen auf nationaler und EU-Ebene bei.
Weitere Informationen
Durchführungsverordnung